Das Schreiben kam nicht überraschend. Trotzdem schlug es im Unternehmen ein wie eine Bombe: Der Datenbankhersteller kündigte ein Lizenz-Audit an. Sofort brach Hektik aus, die in die erschreckende Erkenntnis mündete: Wir wissen nicht genau, welche Software auf welchen Systemen läuft und wie viele Lizenzen aktiv genutzt werden.

Dieses Szenario ist typisch. Wie das Marktforschungsunternehmen King Research bereits vor fünf Jahren feststellte, sind 73 Prozent der IT-Manager nicht auf ein Software-Audit vorbereitet. Und die Fachzeitschrift "Datamation" errechnete "eine Chance von 70 Prozent, dass ein Unternehmen sich nicht in Compliance mit den Lizenzverträgen befindet".

Intransparente Virtualisierung

Mittlerweile ist die Situation durch Virtualisierungstechnologien noch unübersichtlicher geworden. Mittelständische Firmen sind besonders gefährdet, denn viele arbeiten nur mit Excel-Listen. Unvorbereitet haben Unternehmen kaum eine Chance, stressfrei durch den Audit-Prozess zu kommen. Neben der IT sind auch Controlling, Einkauf und Outsourcing-Partner betroffen.

Projekte, die vielleicht ohnehin im Verzug sind, müssen kürzer treten, da Mitarbeiter abgezogen werden, um die Daten manuell zusammenzutragen. Das schafft aber weitere Fehlerquellen. Deshalb engagieren Unternehmen oft einen Wirtschaftsprüfer - zu meist hohen Gebühren.

Überlizenzierung aus Furcht

Zusätzlich droht eine teure Nachlizenzierung. Nicht selten lassen sich CIOs deshalb lieber pauschal auf eine Überlizenzierung ein, kann ein nachgewiesener Verstoß gegen die Lizenzbedingungen doch unangenehme Compliance-Fragen nach sich ziehen. Die Marktforscher von Forrester Research und Gartner sowie das Wirtschaftsprüfungsunternehmen Ernst & Young haben jeweils festgestellt, dass die Zahl der Audits ständig zunimmt. Die Hersteller wollen ihre legitimen vertraglichen Rechte wahren, außerdem sind Nachlizenzierungen eine zusätzliche Umsatzquelle. Die meisten Audits führen laut Gartner IBM, Oracle, Adobe, Microsoft und SAP durch.

Die Schwierigkeiten nehmen zu, je tiefer die Lizenzen im System verankert sind. Desktop-Software ist noch relativ einfach zu erfassen. Auch Standardanwendungen wie SAP lassen sich erheben, da die Anzahl der Server selten den zweistelligen Bereich überschreitet. Eine Herausforderung sind jedoch Datenbanken. Ein großes Telekommunikationsunternehmen verwaltet zum Beispiel europaweit mehr als 5.000 Oracle-Instanzen. Diese Installationen wachsen, werden verändert und weiter virtualisiert. Welchem Systemspezialisten sind da schon die Auswirkungen bekannt, die sich aus den Nutzungsbedingungen ergeben?

Lizenzfallen im System

Um die Nutzung ihrer Datenbankapplikationen adäquat zu dokumentieren, müssen Unternehmen viele Kennzahlen auswerten:

• Auf welchen Servern läuft eine Datenbanksoftware?

• Welche Betriebssysteme und CPU-Konfiguration verwenden sie?

• Welche lizenzpflichtigen Datenbankoptionen sind installiert und werden genutzt?

Beispielsweise bietet Oracle Funktionen in Form von Management-Packages an, die teilweise standardmäßig mitinstalliert werden. Schon die einmalige Nutzung eines solchen Packages macht dieses dauerhaft lizenzpflichtig. In vielen Fällen lässt der Kunde seine Datenbankumgebung von Dienstleistern betreiben und anpassen, was den Überblick zusätzlich erschwert.

Die Unübersichtlichkeit ist auf den heute üblichen IT-Betrieb zurückführbar. Dieser orientiert sich streng an den Prozessen, die immer stärker automatisiert wurden. Für Monitoring, Service Desk, Configuration-, Problem- und Change-Management setzen die Unternehmen Tools wie IBM Tivoli, Microsoft SCCM, HP Asset Manager, BMC Remedy oder CA IT Asset Manager ein. Und dieser Tool-zentrierte Ansatz führt zu einer Vielzahl von Schnittstellen, die wiederum hohe Komplexität mit sich bringen.

Drei Methoden der Datenerfassung

Eine automatisierte Datenerfassung nach dem Stand der Technik sollte die drei heute gängigen Methoden unterstützen:

Eine CMDB allein reicht nicht

Jede Lösung hat ihre eigene Datenbank mit unterschiedlichen Strukturen und Aktualisierungsintervallen. Dadurch entstehen nicht integrierte Silos mit häufig auch noch heterogenen Beständen. Die soll die CMDB (Configuration Management Database) konsolidieren, aber sie kann die Daten nicht ohne Veränderungen verarbeiten. So stellte unlängst ein großer Finanzdienstleister fest, dass trotz Automatisierung ein erheblicher manueller Aufwand notwendig ist, um die CMDB aktuell zu halten.

Die Folge: Auf der Informationslandkarte findet man viele weiße Flecken, und die verfügbaren Angaben sind unzuverlässig. Fragt man fünf Quellen nach dem aktuellen Bestand, erhält man nicht selten fünf Werte mit gravierenden Abweichungen. In der Regel lassen sich daher weniger als 50 Prozent der für ein Audit erforderlichen Daten automatisch ermitteln.

Daraus folgt: Der Kunde kann ein Audit nur dann ohne Stress und hohe Kosten überstehen, wenn er rechtzeitig ein zentrales Informations-Management etabliert hat. Dazu hat er im Prinzip zwei Möglichkeiten.

Eine davon ist eine Software-Asset- oder Lizenz-Management-Lösung, die das Unternehmen komplett aufbauen muss. Es investiert also in Suites, die alle Quellen anzapfen. Dazu gehören Asset-Daten (Geräte, Konfigurationsdaten, Verträge, Lizenzen inklusive ihrer Historie, Wartungs-, Softwarebestands- und Nutzungsdaten), aber auch Organisationsdaten (Unternehmensstrukturen, Kostenstellen, Lokationen).

Die Suite verwaltet all diese Informationen autark. Es handelt sich um eine komfortable, aber auch aufwendige Lösung: Bis alle notwendigen Informationen integriert und strukturell überprüft sind, können mehrere Jahre vergehen. Anbieter solcher Lösungen sind beispielsweise Spider, Amando oder Hewlett-Packard.

Scan-Tools als Alternative

Zu diesem Ansatz gibt es eine Alternative: ein smartes Informations-Management. Hier fragt eine Querschnittsfunktion mittels geeigneter Scan-Tools die notwendigen Basisdaten ab und stellt sie dem Hersteller konsolidiert zur Verfügung. Auch eine solche Lösung wird meist nicht "Out of the Box" implementiert, denn die Unternehmen haben nun einmal komplexe IT-Umgebungen aufgebaut. Aber der Zeitaufwand für die Einführung ist einschließlich der manuellen Anpassungen nur mit zwei bis drei Monaten zu veranschlagen.

Anerkennung des Herstellers

Danach können die aktuellen Daten jederzeit automatisch abgerufen werden und stehen zusätzlich für andere Anforderungen und Tools zur Verfügung. Anbieter solcher Lösungen sind unter anderen Easyteam, Lime Software und Nova Ratio.

Hilfreich ist es, wenn die jeweilige Lösung vom Hersteller der Datenbanksoftware verifiziert ist. Denn dann erkennt er die bereitgestellten Daten sofort an. Zweifelt der Lizenzgeber an den Daten, muss der Kunde doch wieder ins Detail gehen.

Lästige Pflicht und Chance

So ärgerlich ein Audit für den CIO auch sein mag: Er bekommt auf diesem Weg einen Überblick über seine Software und kann seine Verträge neu verhandeln. Damit muss er allerdings nicht bis zu einem Audit warten. Hat er ein proaktives Informations-Management aufgebaut, erkennt er, welche installierten Softwarekomponenten tatsächlich genutzt werden; er kann jederzeit auf die Hersteller zugehen und darauf drängen, dass die Lizenzverträge nach deren Ablauf neu zugeschnitten werden. Da üblicherweise 20 Prozent der Lizenzkosten für Wartung fällig werden, spart er damit auch bei den laufenden Ausgaben. (qua)